Registros de filtrado de URLs

Los registros del servicio de filtrado de URLs le permiten auditar, verificar y analizar el filtrado de tráfico basado en URLs de su red.

Cuando el firewall de nueva generación de Cloud realiza un filtrado basado en URLs en el tráfico con la inspección de la capa 7 habilitada, genera una entrada de registro por cada conexión con detalles sobre la conexión. Cloud NGFW genera una entrada de registro cuando se activa la regla de firewall con inspección de capa 7, independientemente de si Cloud Logging está habilitado o inhabilitado.

Para ver y examinar los registros de filtrado de URLs, en Explorador de registros, busca el registro networksecurity.googleapis.com/firewall_url_filter.

En esta página se describe el formato y la estructura de los registros de filtrado de URLs que genera Cloud NGFW para cada conexión cuando permite o deniega el tráfico.

Formato de registro de filtrado de URLs

Cloud NGFW crea una entrada de registro en Cloud Logging para cada conexión que se somete a un filtrado de URLs para monitorizar el tráfico hacia o desde una instancia de máquina virtual en una zona específica. Los registros de registro se incluyen en el campo de carga útil JSON de un LogEntry.

Algunos campos de registro tienen un formato de varios campos, con más de un dato en un campo determinado. Por ejemplo, el campo connection tiene el formato Connection y contiene la dirección IP y el puerto del servidor, la dirección IP y el puerto del cliente, y el número de protocolo en un solo campo.

En la siguiente tabla se describe el formato de los campos del registro de filtrado de URLs.

Campo Tipo Descripción
connection Connection Una tupla de 5 elementos que describe los parámetros de conexión asociados al tráfico que se permite o se deniega en función de la información de indicación de nombre de servidor (SNI) y de dominio.
interceptInstance InterceptInstance Los detalles de la instancia de VM en la que se permite o se deniega el tráfico en función de la información del dominio y del SNI.
detectionTime string La hora (UTC) en la que el endpoint del cortafuegos detecta una coincidencia para el dominio y la información de SNI.
uriMatched string El dominio con el que el endpoint del cortafuegos ha detectado una coincidencia.
interceptVpc VpcDetails Los detalles de la red de nube privada virtual (VPC) asociada a la instancia de VM en la que se permite o se deniega el tráfico en función de la información del dominio y del SNI.
ruleIndex integer El índice o el número de orden del filtro de URL con el que el endpoint del firewall ha detectado una coincidencia.
direction string Dirección del tráfico (CLIENT_TO_SERVER o SERVER_TO_CLIENT) para el que el endpoint del cortafuegos ha detectado una coincidencia.
securityProfileGroupDetails SecurityProfileGroupDetails Detalles del grupo de perfiles de seguridad aplicado al tráfico interceptado.
denyType string El tipo de información que usa el endpoint del cortafuegos para denegar el tráfico.
  • SNI: el endpoint del cortafuegos ha denegado el tráfico porque se ha detectado una coincidencia con un SNI.
  • HOST: el endpoint del cortafuegos ha denegado el tráfico porque se ha detectado una coincidencia con la información del dominio presente en el campo de encabezado Host.
  • URI: el endpoint del cortafuegos ha denegado el tráfico porque se ha detectado una coincidencia con un URI.
action string La acción, allow o deny, que se realiza en el tráfico que se filtra en función de la información del dominio y del SNI. El perfil de seguridad define esta acción. Para obtener más información sobre la acción configurada, consulte el perfil de seguridad de filtrado de URLs.
applicationLayerDetails ApplicationLayerDetails Los detalles relacionados con el procesamiento de la capa de aplicación.
sessionLayerDetails SessionLayerDetails Detalles relacionados con el procesamiento de la capa de sesión.

Formato de campo Connection

En la siguiente tabla se describe el formato del campo Connection.

Campo Tipo Descripción
clientIp string La dirección IP del cliente. Si el cliente es una máquina virtual de Compute Engine, clientIp es la dirección IP interna principal o una dirección de un intervalo de IPs de alias de la interfaz de red de la máquina virtual. No se muestra la dirección IP externa. Los registros muestran la dirección IP de la instancia de VM tal como se observa en el encabezado IP, de forma similar al volcado de TCP en la instancia de VM.
clientPort integer El número de puerto del cliente.
serverIp string La dirección IP del servidor. Si el servidor es una máquina virtual de Compute Engine, serverIp es la dirección IP interna principal o una dirección de un intervalo de IPs de alias de la interfaz de red de la máquina virtual. La dirección IP externa no se muestra aunque se use para establecer la conexión.
serverPort integer El número de puerto del servidor.
protocol string El protocolo IP de la conexión.

Formato de campo InterceptInstance

En la siguiente tabla se describe el formato del campo InterceptInstance.

Campo Tipo Descripción
zone string Nombre de la zona en la que se encuentra la instancia de VM asociada al tráfico interceptado.
vm string Nombre de la instancia de VM asociada al tráfico interceptado.
projectId string Nombre del Google Cloud proyecto asociado al tráfico interceptado.

Formato de campo VpcDetails

En la siguiente tabla se describe el formato del campo VpcDetails.

Campo Tipo Descripción
vpc string Nombre de la red VPC asociada al tráfico interceptado.
projectId string Nombre del Google Cloud proyecto asociado a la red de VPC.

Formato de campo SecurityProfileGroupDetails

En la siguiente tabla se describe el formato del campo SecurityProfileGroupDetails.

Campo Tipo Descripción
securityProfileGroupId string Nombre del grupo de perfiles de seguridad que se aplica al tráfico.
organizationId string El ID de la organización a la que pertenece la instancia de VM.

Formato de campo ApplicationLayerDetails

En la siguiente tabla se describe el formato del campo ApplicationLayerDetails.

Campo Tipo Descripción
protocol string Versión del protocolo que usa el endpoint del cortafuegos en la capa de aplicación.
  • HTTP0: indica que la versión de HTTP es inferior a 1. El endpoint del cortafuegos lee la información del dominio del primer campo de encabezado de host.
  • HTTP1: indica la versión 1.x de HTTP. El endpoint del cortafuegos lee la información del dominio del primer campo de encabezado de host.
  • HTTP2: indica la versión 2.x de HTTP. Como el campo de encabezado Host es opcional en esta versión del protocolo, el endpoint del firewall lee la información del dominio del seudoencabezado de autoridad o de los bloques de encabezado de los tipos de marco de encabezado, continuación o push_promise.
uri string La información de dominio y subdominio que lee el endpoint del cortafuegos del tráfico.

Formato de campo SessionLayerDetails

En la siguiente tabla se describe el formato del campo SessionLayerDetails.

Campo Tipo Descripción
sni string El indicador del nombre del servidor (SNI) que lee el endpoint del cortafuegos del tráfico.
protocolVersion string Versión del protocolo que usa el endpoint del cortafuegos en la capa de sesión.
  • TLS1_0: indica la versión 1.0 de TLS.
  • TLS1_1: indica la versión 1.1 de TLS.
  • TLS1_2: indica la versión 1.2 de TLS.
  • TLS1_3: indica la versión 1.3 de TLS.

Correlación de registros de filtrado de URLs con un registro de cortafuegos

Cuando una regla de cortafuegos evalúa el tráfico, Cloud NGFW registra una entrada de registro de reglas de cortafuegos. Esta entrada incluye campos como la dirección IP de origen, la dirección IP de destino y la hora de inspección del tráfico. Para ver estos registros de reglas de cortafuegos, consulta Ver registros.

Si una regla de política de cortafuegos con inspección de capa 7 tiene habilitado el registro, Cloud NGFW primero registra la entrada de registro de reglas de cortafuegos del tráfico evaluado. A continuación, envía el tráfico al endpoint del cortafuegos para inspeccionar la capa 7.

El endpoint del cortafuegos analiza el tráfico mediante su dominio y SNI, y crea un registro de filtrado de URLs independiente para la conexión. Este registro de filtrado de URLs incluye campos como el nombre de dominio, la fuente del tráfico y el destino del tráfico.

Para ver los registros de filtrado de URLs, en Explorador de registros, busca el registro networksecurity.googleapis.com/firewall_url_filter.

Puede comparar los campos del registro de reglas de firewall y del registro de filtrado de URLs para identificar la conexión que ha activado el filtrado de URLs y tomar las medidas oportunas para resolverlo.

Por ejemplo, supongamos que tiene una regla de política de cortafuegos configurada con los siguientes ajustes:

  • Dirección IP de origen: 192.0.2.0
  • Puerto de origen: 47644
  • Dirección IP de destino: 192.0.2.1
  • Puerto de destino: 80
  • Registro: Enabled

Para ver los registros de filtrado de URLs asociados a esta regla, vaya a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.

  resource.type="networksecurity.googleapis.com/FirewallEndpoint"
  jsonPayload.source_ip_address="192.0.2.0"
  jsonPayload.source_port="47644"
  jsonPayload.destination_ip_address="192.0.2.1"
  jsonPayload.destination_port="80"

En la sección Resultados de la consulta se muestra el siguiente registro de filtrado de URLs:

    {
      "insertId": "akxp8uf5f0fuv",
      "jsonPayload": {
      "connection": {
      "serverPort": 80,
      "clientPort": 47644,
      "protocol": "TCP",
      "clientIp": "192.0.2.0",
      "serverIp": "192.0.2.1"
    },
      "interceptInstance": {
      "zone": "us-central1-c",
      "vm": "aied-test-dont-delete",
      "projectId": "project_001"
    },
      "detectionTime": "2025-06-02T19:09:27.802711668Z",
      "uriMatched": "",
      "interceptVpc": {
      "projectId": "project_001",
      "vpc": "default"
    },
      "ruleIndex": 0,
      "direction": "CLIENT_TO_SERVER",
      "@type": "type.googleapis.com/google.cloud.networksecurity.logging.v1.URLFilterLog",
      "securityProfileGroupDetails": {
      "securityProfileGroupId": "project_001/spg/my-spg-id",
      "organizationId": "organization_001"
    },
      "denyType": "HOST",
      "action": "DENY",
      "applicationLayerDetails": {
      "protocol": "HTTP1",
      "uri": "server.fwp.com"
    },
      "sessionLayerDetails": {
      "sni": "",
      "protocolVersion": "PROTOCOL_VERSION_UNSPECIFIED"
    }
  },
    "resource": {
    "type": "networksecurity.googleapis.com/FirewallEndpoint",
    "labels": {
      "location": "us-central1-c",
      "resource_container": "organizations/organization_001",
      "id": "pg-ni-latencyayzl8peq"
    }
  },
  "timestamp": "2025-06-02T19:09:35.452299517Z",
  "logName": "projects/project_001/logs/networksecurity.googleapis.com%2Ffirewall_url_filter",
  "receiveTimestamp": "2025-06-02T19:09:35.452299517Z"
}

Del mismo modo, para ver los registros de cortafuegos asociados a esta regla, vaya a la página Explorador de registros. En el panel Consulta, pega la siguiente consulta en el campo del editor de consultas.

    jsonPayload.rule_details.action="APPLY_SECURITY_PROFILE_GROUP"
    jsonPayload.connection.src_ip="192.0.2.0"
    jsonPayload.connection.src_port="47644"
    jsonPayload.connection.dest_ip="192.0.2.1"
    jsonPayload.connection.dest_port="80"

En la sección Resultados de la consulta se muestra el siguiente registro del cortafuegos:

    {
      insertId: "qn82vdg109q3r9"
      jsonPayload: {
      connection: {
      }
      dest_ip: "192.0.2.1"
      dest_port: 80
      protocol: 6
      src_ip: "192.0.2.0"
      src_port: 47644
      disposition: "INTERCEPTED"
      ►instance: {4}
      ▸ remote_instance: {4}
      ▸ remote_vpc: {3}
      rule_details: {
      action: "APPLY_SECURITY_PROFILE_GROUP"
      apply_security_profile_fallback_action: "UNSPECIFIED"
      direction: "INGRESS"
      ▸ ip_port_info: [1]
      ▼
      priority: 6000
      reference: "network: fwplus-vpc/firewallPolicy: fwplus-fwpolicy"
      source_range: [
      1
      0: "192.0.2.0/24"
      target_secure_tag: [
      0: "tagValues/281479199099651"
      ]
      }
      vpc: {
      project_id: "project_001"
      subnetwork_name: "fwplus-us-central1-subnet"
      vpc_name: "fwplus-vpc"
      }
      }
      logName: "projects/project_001/logs/compute.googleapis.com%2Ffirewall",
      receiveTimestamp: "2023-11-28T19:08:46.749244092Z"
      resource: {2}
      timestamp: "2023-11-28T19:08:40.207465099Z"
    }

Con las consultas de los registros de filtrado de URLs y del firewall, puede ver la correlación entre ellos. En la siguiente tabla se asignan los campos de registro del cortafuegos a los campos de registro del filtrado de URLs correspondientes.

Campo de registro de cortafuegos Campo de registro de filtrado de URLs Descripción
src_ip clientIp La dirección IP de origen del registro del cortafuegos se correlaciona con la dirección IP del cliente del registro de filtrado de URLs para identificar el origen del tráfico filtrado.
src_port clientPort El puerto de origen del registro del cortafuegos se relaciona con el puerto del cliente del registro de filtrado de URLs para identificar el puerto de origen usado por el tráfico filtrado.
dest_ip serverIp La dirección IP de destino del registro del cortafuegos se correlaciona con la dirección IP del servidor del registro de filtrado de URLs para identificar el destino del tráfico filtrado.
dest_port serverPort El puerto de destino del registro del cortafuegos se correlaciona con el puerto del servidor del registro de filtrado de URLs para identificar el puerto de destino utilizado por el tráfico filtrado.

Siguientes pasos